¿Has intentado alguna vez cifrar tu correo con desarrollos como PGP? Si lo has hecho probablemente te hayas dado cuenta de que el proceso no era ‘apto para principiantes’. Proteger la privacidad del correo parecía hasta no hace mucho una opción solo abierta a usuarios avanzados.
Afortunadamente hay alternativas: ProtonMail quiere cambiar esto con un servicio de correo electrónico web que garantiza la privacidad de nuestros mensajes. El objetivo es tan simple como llamativo: que solo lea tu correo quien tiene que leerlo.
PGP era estupendo salvo cuando no lo era
El descubrimiento de cómo la NSA lleva años dedicándose a espiarnos todo lo que puede fue una revelación para muchos, pero no para los que también llevaban mucho tiempo tratando de proteger sus comunicaciones.
Parte de esa labor estaba centrada en la protección de nuestras cuentas de correo electrónico, que a menudo se basan en servicios gratuitos como los que ofrece Google con Gmail. Es cierto que las prestaciones del servicio son fantásticas, pero al usarlo nos convertimos un poco en fuente inagotable de datos para Google (y para otros muchos proveedores), que suelen recolectar esos datos para servir publicidad contextual en el navegador.
Para atajar ese problema —para los que lo consideran como tal— hace mucho que surgieron plataformas como PGP que permitían proteger la privacidad de las comunicaciones y, en concreto, del correo electrónico. El problema es que la plataforma, fantástica en su concepción, no lo era tanto en experiencia de usuario: ponerla en marcha en nuestro cliente de correo no era nada sencillo, algo que frenó su potencial expansión.
Alternativas como GPG (GNU Privacy Guard) planteaban teóricas mejoras y además eran interoperables, y aunque aparecieron clientes con soporte para estas plataformas —o nativos como Claws Mail o Evolution o a través de extensiones, como las que aparecieron para Thunderbird—, su configuración y uso echaba para atrás a los usuarios sin conocimientos avanzados. La alternativa es precisamente la que dan servicios como ProtonMail —aunque hay otros—, que desde su creación tiene como objetivo la protección de la privacidad de sus usuarios.
¿Para quién es la privacidad que ofrece ProtonMail?
La mayoría de empresas que proporcionan servicios de correo electrónico son susceptibles de tener que responder ante las autoridades (siempre con la aprobación de un juez) si éstas necesitan tener acceso a ciertas cuentas por motivos diversos.
En ProtonMail, en cambio, no solo se centran en proporcionar seguridad y privacidad a nivel tecnológico, sino también a nivel legal y judicial: sus creadores situaron su base de operaciones en Suiza, un país que no forma parte de la Unión Europea y que tampoco depende en modo alguno del gobierno de los Estados Unidos, aunque sí tenga un acuerdo con ese país si hay peticiones legales legítimas. Han colaborado en el pasado, pero también han rechazado algunas de esas peticiones, como demuestra el informe de transparencia publicado por los responsables del servicio periódicamente.
Las leyes de privacidad son especialmente fuertes en dicho país, y de hecho los creadores de ProtonMail afirman en su sitio web que “creemos que la seguridad total solo se puede conseguir con una combinación de protecciones tecnológicas y legales, y Suiza proporciona la combinación óptima de ambas“.
Esa protección legal parece especialmente adecuada si el usuario está especialmente preocupado por si ciertos gobiernos pueden acceder a sus correos. Más delicada es la cuestión de si esa protección es mayor frente a posibles hackers. Aquí nos enfrentamos a otro riesgo, y es al de que un ciberatacante trate de acceder a nuestro correo desde la raíz, no logrando acceso a la empresa que proporciona el servicio.
En este caso la seguridad que ofrece ProtonMail es muy fuerte para los que tratan de acceder a los datos mientras se están transfiriendo —el cifrado a extremo a extremo protege bien ese ámbito— pero no necesariamente tanto en el acceso al servicio, que se basa en el uso de un usuario y una contraseña.
Es el mismo método que usamos en otros tantos servicios de correo como Gmail o Outlook (hace unas semanas ProtonMail hizo más fácil aún interactuar con Outlook, Thunderbird o Apple Mail), y de hecho tanto en unos como en otros es posible (y muy recomendable) activar la verificación o autenticación en dos pasos que nos permite usar por ejemplo nuestro móvil para que nos llegue un SMS cuando queramos entrar en nuestra cuenta.
A diferencia de ProtonMail, no obstante, en Gmail hace tiempo que es posible usar tokens físicos, llaves de seguridad hardware que hacen que solo podamos acceder al correo si tenemos conectado un dispositivo físico como un pendrive USB específico o un dispositivo Bluetooth que aprovechando la tecnología FIDO.
También hay que señalar por ese lado que ProtonMail no usa verificación en dos pasos con SMS, algo que sí hace Gmail y que desde hace algún tiempo no es tan buena idea: en su servicio hacen uso del protocolo Secure Remote Password (SRP), una evolución de la idea que evita los problemas que plantea ese sistema basado en SMS.
Un cifrado punto a punto con letra pequeña
Si hay una característica destacada de ProtonMail, esa es la del cifrado punto a punto que este servicio de correo electrónico ofrece a sus usuarios. Ni siquiera los propios desarrolladores pueden acceder a esos mensajes, que como ocurre en el caso de algunas aplicaciones de mensajería como WhatsApp o Telegram, protegen el contenido del mensaje antes de enviarlo.
Esa apuesta de ProtonMail se extiende también a cómo registra nuestra actividad, o más bien, a cómo no la registra. A diferencia de Gmail, por ejemplo, no se monitoriza la actividad del usuario y tampoco su dirección IP.
Los responsables de ProtonMail destacan cómo en su servicio no hay conflictos de interés: otros servicios usan la actividad de los usuarios para recolectar información y utilizarla para ofrecer publicidad contextual, pero en ProtonMail evitamos esa filosofía porque básicamente estamos pagando por proteger nuestra privacidad.
Eso si pagamos, claro, porque ofrecen una cuenta gratuita con 500 MB de almacenamiento, una forma óptima de probar el servicio. A esa opción se le suma la del anonimato (al menos parcial, porque tenemos que confirmar la apertura de la cuenta con un código enviado por SMS): ProtonMail no nos pide datos personales para abrir cuenta, y de hecho podemos ir más allá en la protección del anonimato si usamos la red Tor. La posibilidad de enviar mensajes que se “autodestruyen” también es útil, aunque la utilidad de esa función es discutible sobre todo cuando uno puede acabar sacando capturas de pantalla de esos mensajes.
Es importante recalcar que ese cifrado de ProtonMail ## solo funciona de forma nativa en un caso: si tanto el usuario que manda el correo como el que lo recibe hacen uso de una cuenta de ProtonMail. En otros casos hay una matización importante, aunque ese cifrado nativo del servicio sigue siendo funcional. Es perfectamente posible enviar un correo cifrado desde ProtonMail a un usuario con Gmail, por ejemplo.
Si lo hacemos, eso sí, el destinatario no recibirá el contenido de nuestro correo como lo hemos escrito, sino que en lugar de eso recibirá un enlace “seguro” para poder abrir el mensaje cirrado e incluso una pista para que el destinatario averigue la contraseña (algo que solo ellos dos sepan) y la introduzca para leer por fin el mensaje.
Críticas razonables a ProtonMail
Los argumentos con los que los responsables del servicio defienden las ventajas de ProtonMail son interesantes, pero en muchas de esas afirmaciones hay también espacio para el debate.
Por ejemplo, en ProtonMail presumen de no estar sujetos a las obligaciones de otros servicios gracias a tener su sede en Suiza. Como indicaba un usuario en StackExchange, “los electrones no tienen nacionalidad”, y las transferencias de datos no tienen siempre una posición geográfica definida.
Los problemas sufridos por empresas como Lavabit, que tuvo que cerrar por las presiones gubernamentales —ha vuelto a resurgir de sus cenizas—, demuestran lo difícil que pueden llegar a tenerlo estos servicios para seguir operando. Tenemos también casos como el de Hushmail, que a pesar de sus promesas sobre proteger la privacidad de sus usuarios acabó cediendo datos en una investigación gubernamental.
Otra de las críticas razonables y razonadas la plantearon varios expertos e incluso fue valorada por los creadores del servicio. El llamado “Modelo de Amenaza” (Threat Model) de ProtonMail trata de aclarar para quién y para quién no está destinado ProtonMail, y aquí esos responsables explicaban como una de las bases del servicio es “ser usable”.
Esa usabilidad hace que tengan que hacerse ciertos sacrificios, y uno de ellos está precisamente en ese cliente web y en una criptografía en los que el uso de JavaScript plantea potenciales ataques. Los creadores planteaban cómo han implementado “numerosos mecanismos de seguridad para evitar ataques a nuestros servidores”, pero aún así dejaban claro algo peculiar:
Si eres Edward Snowden, o el próximo Edward Snowden, y estás ante una situación de vida o muerte que requiere privacidad, no te recomendamos usar ProtonMail. Para situaciones extremadamente sensibles, usar el correo electrónico para comunicarte simplemente no es buena idea.
Las mismas dudas plantea esa promesa de que no pueden acceder a tus mensajes: cuando usas ProtonMail te conectas a sus servidores y escribes el mensaje con su cliente webmail, lo que hace posible (no necesariamente fácil o factible, pero la opción existe) que pudieran usar código malicioso para leer esos mensajes mientras los escribes.
Esas críticas se suman a las que indicaban hace tiempo en Wired, donde explicaban cómo no es fácil saber si un mensaje enviado a un usuario está cifrado con la clave pública correcta para cada usuario, que está almacenada en el servidor de claves de ProtonMail.
“Por ejemplo, si Alice envía a Bon un mensaje cifrado a su clave pública, es difícil que otras personas lean ese mensaje. Pero como ProtonMail distribuye las claves de cifrado a sus usuarios, tiene la capacidad técnica de darle a Alice tanto sus propias claves como las de Bob, lo que haría que los mensajes cifrados fueran susceptibles de ser espiados.
El problema afecta a otros servicios (WhatsApp incluido), mientras que servicios como el de Silent Circle permiten verificar esas claves para asegurar que tienen las adecuadas en cada momento. Aunque ProtonMail te permite exportar tu clave pública y enviarsela a otra persona, no puedes verificar de forma sencilla si esos mensajes se envían a la misma clave pública.
Hay otras desventajas que pueden ser molestas para ciertos usuarios: por ejemplo, no se da soporte al acceso IMAP o POP, lo que hace que no podamos utilizar ProtonMail para “centralizar” nuestras direcciones de correo alternativas (las “no-protonmail”) en su cliente webmail.
De hecho el problema fundamental de ProtonMail es que ofrece las ventajas que planteaba PGP, pero lo hace centralizándolo todo en la web de ProtonMail cuando precisamente una de las ventajas de PGP era el estar totalmente descentralizado.
La transparencia y el hecho de utilizar la filosofía Open Source (el cliente web y las librerías criptográficas tienen su código fuente disponible en GitHub) desde luego aportan un voto de confianza. Una cosa está clara: con sus luces y sus sombras, ProtonMail es una alternativa claramente más segura que el Gmail de turno para proteger la privacidad de tu correo electrónico.
Más información | ProtonMail
Este artículo apareció originalmente en xataka.com